Stamattina è scoppiato un terremoto digitale, epicentro Lussemburgo. La Corte di Giustizia si è espressa sul caso sollevato da Maximillian Schrems, un giovane studente di legge austriaco che ha chiesto di bloccare il trasferimento dei suoi dati personali nei server americani di Facebook. La decisione è clamorosa: il Safe Harbor, cioè la norma sull’approdo sicuro dei dati sensibili che ha certificato 15 anni fa i rapporti di fiducia tra Bruxelles e gli Stati Uniti, non è valido. Per ragioni tecniche e per ragioni storiche la Corte Europea ha di fatto spazzato via un muro di ipocrisia e messo in discussione il fondamento stesso dell’attività delle aziende della silicon valley che prosperano su questi dati.
La sentenza (pdf) resa pubblica poche ore fa è destinata a far molto discutere. Anche se non ha immediate conseguenze stabilisce un “principio di sfiducia” che potrebbe cambiare le carte in tavola. Fino ad oggi i colossi del web hanno potuto trasferire i dati prodotti dall’attività locale dei loro utenti verso i server fuori dai confini europei, negli Stati Uniti, grazie al Safe Harbor, un accordo che in sintesi sostiene che questo dato di valore commerciale può essere portato in un paese terzo quando rispetti i medesimi criteri della comunità europea.
Ciò che Maximillian Schrems ha contestato è che questo approdo fosse sicuro: come definirlo così dopo lo scandalo della sorveglianza globale svelata da Edward Snowden? Ecco perché il caso è arrivato alla Corte, l’unica che può annullare un atto dell’Unione, fatto puntualmente avvenuto per tre ragioni:
- La Commissione avrebbe dovuto constatare che gli Stati Uniti garantissero effettivamente un adeguato livello di protezione dei dati personali a norma della direttiva, mentre si è limitata ad esaminare il regime dell’approdo sicuro;
- Il Safe Harbor è esclusivamente applicabile alle imprese americane che lo sottoscrivono, mentre le autorità pubbliche non sono assoggettate, e questo ha consentito gravi ingerenze nei diritti fondamentali delle persone (cioè, NSA);
- La norma europea autorizza in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione.
#ECJ declares EU-US Safe Harbour Decision invalid #SafeHarbor #Schrems http://t.co/B0sMPtNgss
— EU Court of Justice (@EUCourtPress) October 6, 2015
La conclusione mette un segno con la biro rossa all’accordo EU-USA:
La Corte dichiara che la decisione della Commissione del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e diritti fondamentali delle persone. La Corte afferma che la Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo.
Per questo complesso di motivi, la Corte dichiara invalida la decisione della Commissione del 26 luglio 2000.
Che succederà
Ora che la Corte ha dato ragione allo studente austriaco, la pregiudiziale presentata all’Alta Corte in Irlanda potrà fare il suo iter e tra qualche tempo decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato. Si tratta di una vittoria di principio, non della fine del trasferimento dei dati di Facebook oltreoceano (cosa eventualmente risolvibile stabilendo dei server in ogni paese europeo).
Ci vorrà tempo e ci vorranno molti altri elementi di discussione, anche da parte della stessa società di Menlo Park. Certamente stabilire che sarebbe possibile trattenere i dati personali in Europa apre uno scenario incredibilmente diverso rispetto a quello che ha creato di fatto l’economia del web come la conoscono tutti. Ci sono però almeno due ragioni poco incoraggianti: le tecniche di trattamento dei dati sono facilmente replicabili ovunque, e i progetti più ambiziosi della sorveglianza globale sono basati sul prelievo alla fonte dei dati prodotti, nei cavi e intercettando gli smartphone.
Aggiornamento: il commento del Garante della Privacy.
Il garante Antonello Soro ha commentato la sentenza della Corte di Giustizia Europea, sottolinendo che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia «compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati». Per questo, aggiunge Soro, «occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni».